BUUCTF web(五)

最新推荐文章于 2024-12-31 18:07:30 发布
最新推荐文章于 2024-12-31 18:07:30 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 刷题笔记 文章标签: 安全 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46616663/article/details/121457616

[GXYCTF2019]BabyUpload

传呗,先传个php一句话
在这里插入图片描述
检测后缀了,大小写也绕不过去
在这里插入图片描述
试了下别的后缀也不大行

抓包康康
在这里插入图片描述
抓包改后缀和content-type倒是能绕过,但是上传的文件依旧是一个jpg而不会被当作php解析
在这里插入图片描述
嘶。。。欸?等等
在这里插入图片描述
那还等啥,传它!
在这里插入图片描述
直接传也是不行的,抓包改下content-type
在这里插入图片描述
之前已经传过马了,连下试试
在这里插入图片描述
芜湖!flag在根路径里

拿来吧你!

在这里插入图片描述
[BUUCTF 2018]Online Tool
在这里插入图片描述

$host = escapeshellarg($host);

$host = escapeshellcmd($host);

这俩函数没见过,百度找找
在这里插入图片描述
在这里插入图片描述
简而言之就是把字符串转换成参数并且过滤放到
在这里插入图片描述
后面执行命令

找到了漏洞解析

在这里插入图片描述
搜索得知nmap命令中有一个参数-oG可以实现将命令和结果写到文件

这是什么?这是一句话木马啊!

payload:

在这里插入图片描述
如果没有单引号,就只是相当于正常使用这两个函数,这所有的东西会被解析成一个字符串交给nmap

空格是因为如果不加空格,经过两个函数之后就会变成
在这里插入图片描述
文件名就变了

因为

在这里插入图片描述
所以传参要用双引号
在这里插入图片描述
蚁剑连上,拿来吧你

在这里插入图片描述

[RoarCTF 2019]Easy Java

WEB-INF/web.xml泄露
在这里插入图片描述
参考这位师傅的https://www.cnblogs.com/karsa/p/13130130.html
在这里插入图片描述这样直接访问会报错

在这里插入图片描述
所以我们用post方式提交请求
在这里插入图片描述
down下来,但是没什么用,那我们也能通过这样的方式访问一下WEB-INF/web.xml
在这里插入图片描述

Servlet程序若想被外界访问,必须把Servlet程序映射到一个URL地址上,这个工作在web.xml文件中使用<servlet>元素和<servlet-mapping>元素完成。
如上,最后的<servlet-name>FlagController表示Servlet的注册名称,<servlet-class>com.wm.ctf.FlagController</servlet-class>表示了完整类名,<servlet-mapping>映射了刚刚注册完毕的Servlet,后面的<url-pattern>/Flag</url-pattern>则指定了访问路径

再贴一下这位师傅的图233

在这里插入图片描述
根据路径构造payload:

?filename=WEB-INF/classes/com/wm/ctf/FlagController.class

在这里插入图片描述
右面的base64解码就好

芜湖~

[BJDCTF2020]The mystery of ip

/flag.php页面发现了ip

在这里插入图片描述
/hint.php页面查看源码发现了提示

在这里插入图片描述
不会是XFF叭,抓包改下试试

在这里插入图片描述确实,猜测这里可能是SSTI,XFF改为{ {7*7}}
在这里插入图片描述
flag一般都在根目录下,所以将XFF改为{system('cat /flag')}即可得到flag
在这里插入图片描述

[GXYCTF2019]禁止套娃

上githack,查看index.php

<?php
include
最低0.47元/天 解锁文章

200万优质内容无限畅学
CTFweb学习记录 -- 命令注入
lifanxin的博客
07-04 1529
命令注入概述常见攻击方式使用管道符号escapeshellarg和escapeshellcmd命令执行漏洞修复总结 概述   web服务器后端代码有时会调用一些执行系统命令的函数,以常见的php语言为例,使用system/exec/shell_exec/passthru/popen/proc_popen等函数可以执行系统命令。因此一旦我们可以控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。 常见攻击方式 使用管道符号   我们以一段简单的php代码为
CTF入门web篇17命令执行相关函数及绕过技巧讲解
anquanniu的博客
10-12 2146
命令注入和代码注入区别 之前我们讲过的都是代码注入,注入的代码相当于网页中新的代码,比如去执行数据库读取的操作,我们想办法插入一段代码去执行,这就是代码执行。 命令注入 命令注入执行的是系统中的命令,使目标服务器的命令在目标服务器上去执行我们想要执行的命令,系统命令的执行还是要基于某些函数的调度去实现的。 1、system函数 例如system函数执行系统命令并输出相应的结果: String ...
Buuctfweb()
qq_50589021的博客
12-14 7144
Greatphp 使用 Error/Exception 内置类绕过哈希比较 可见,需要进入eval()执行代码需要先通过上面的if语句: if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ) 这个乍看一眼在ctf的基础题目中非常常见,一般情况下只需要使
CTF】命令执行RCE
qq_53099119的博客
04-02 4395
md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法:MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值,并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的;
新手入门Web安全Week10
m0_59271033的博客
04-18 410
新手入门Web安全学习
Buuctf Web题解
weixin_68029979的博客
04-24 2098
写在前面, 本人小白一枚,记录一下web做题过程,大部分为个人理解可能有些地方写的不够明确还请见谅。当然由于刚入手web题,所以有些题会没有思路,这时会参考其他大佬的题解过程。本文会一直更新,由于是第一次写博客,所以并不知道一篇能写多少,不管怎样会一直更新的。在题解中,可能并没有说清除为什么是这样,什么要这样,其实大部分我也不知道是为什么,但就是这样做,由上所说我是个小白。如果在文中,出现了只有题目没有题解的情况,是因为我还没有学习与之相关的知识,所以先跳过了,但总会写的。
BUUCTF-Web题解(持续更新中)
2301_80281749的博客
11-25 2619
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
Buuctf web Http(伪造http协议)
2401_86312572的博客
12-29 379
点开网页后他说并不来自于这个网站,这表明可能必须来自于这个网站的数据才会被接受,我们可以抓个包,伪造一下数据。我的理解是发送客户端ip为127.0.0.1后服务端识别为自身的ip,这样就可以达到在本地读取的效果。发现并没有找到,不过有新的发现,这是一个centos上的apache服务器,看有没有命令执行漏洞。返回,看一下网页源码,发现源码有一个secret.php,我们进去看看。我们添加了一个referer新字段,代表请求的网站来源。
BUUCTF——Web
2201_75331136的博客
07-11 1247
启动靶机,出现这个用户登录页面 随便输入一个用户名和密码,通过网址可以判断出该请求方式使用万能密码测试是否存在SQL注入漏洞登录后便可查看到flagflag为:启动靶机,出现以下页面 查看源代码尝试在网址后面加上?cat=dog出现以下存在flag的页面flag为:启动靶机,出现以下页面查看源代码source.php 应该是后端的源码,这题代码审计了 源码中 给出了 两个文件,还有一个 hint.php,这里给出了flag的位置 得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.ph
Buuctf web Php(网站备份+代码审计)
最新发布
2401_86312572的博客
12-31 1216
但现在还有一个问题,就是反序列操作完成后会自动执行_wakeup这个代码,修改username值,导致在下面的if语句中被拦截,拿不到flag。因此我们需要修改序列的总属性量,改为比原有属性要大的数,这就会触发一个反序列漏洞,导致代码逻辑异常,自动略过_wakeup,有点像卡bug。private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。里面是一个虚假的flag,但是我们可以猜测,真正的网站上flag.php中有真正的flag。字符串长度也包括所加前缀的长度。
PHP escapeshellarg()+escapeshellcmd()绕过
rev1ve的博客
12-08 3876
这样的流程来处理输入是存在隐患的,mail就是个很好的例子,因为它函数内部使用了escapeshellcmd,如果开发人员仅用escapeshellarg来处理输入再传给mail那这层防御几乎是可以忽略的。如果可以注入参数,那利用就是各种各样的了,例如 PHPMailer 和 RoundCube 中的mail和 Naigos Core 中的 curl都是很好的参数注入的例子。当进行escapeshellarg()函数处理后,会先进行字符转义,变成如下。那么我们在传入参数的前面添加单引号,后面空格加单引号。
web buuctf [BUUCTF 2018]Online Tool1
weixin_44214568的博客
03-24 3207
考点:escapeshellarg()和escapeshellcmd()漏洞; RCE漏洞 通过代码审计,传参是host,最后的输出对host利用namp扫描, 主要函数就是 $host = escapeshellarg($host); $host = escapeshellcmd($host); escapeshellarg(): escapeshellarg(string$arg):string 重点:escapeshellarg()将给字符串增加一个单引号并且能引用或...
php中{$msg|escape},PHP-escapeshell-命令执行
weixin_42511512的博客
03-10 288
最近审计 PHP 时,频繁出现的escapeshellarg与escapeshellcmd成功勾起了我的性致兴趣,深入了解后发现确实漏洞百出Know it then do itescapeshellargstring escapeshellarg ( string $arg )转义字符串 $arg 中的单引号并使用单引号包裹此部分使得 $arg 只能传递一个参数,且不能执行不同的命令escape...
buuctf刷题 4(php&Rce&escapeshellarg cmd组合漏洞)
weixin_63231007的博客
05-05 1678
[MRCTF2020]Ez_bypass 1 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) &&
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3225
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
[BUUCTF 2018]Online Tool
m0_62422842的博客
06-24 1210
escapeshellarg()和escapeshellcmd()函数绕过进行参数注入相关题目
[原题复现+审计][BUUCTF 2018]WEB Online Tool(escapeshellarg和escapeshellcmd使用不当导致rce)...
笑花大王
03-13 335
简介 原题复现:https://github.com/glzjin/buuctf_2018_online_tool (环境php5.6.40) 考察知识点:escapeshellarg和escapeshellcmd使用不当导致rce 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 简单审计 ...
BUUCTF__web题解合集(
风过江南乱的博客
08-10 1371
1、[BJDCTF2020]The mystery of ip 2、[BJDCTF2020]Cookie is so stable 3、[WesternCTF2018]shrine 4、[BJDCTF2020]ZJCTF,不过如此 5、[CISCN 2019 初赛]Love Math
[BUUCTF 2018]Online Tool 题解
偷一个月亮
09-01 801
传入的参数是:172.17.0.2' -v -d a=1 经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1', 即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。 经过escapeshellcmd处理后变成'172.17.0.2'\\'' -v -d a=1\', 这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义:http://php.net/manual/zh/function.es...
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值